M1卡破解密碼控制位及控制規(guī)則

1、一、主要指標(biāo)l 容量為8K位EEPROMl 分為16個(gè)扇區(qū)，每個(gè)扇區(qū)為4塊，每塊16個(gè)字節(jié),以塊為存取單位l 每個(gè)扇區(qū)有獨(dú)立的一組密碼及訪問(wèn)控制l 每張卡有唯一序列號(hào)，為32位l 具有防沖突機(jī)制，支持多卡操作l 無(wú)電源，自帶天線，內(nèi)含加密控制邏輯和通訊邏輯電路l 數(shù)據(jù)保存期為10年，可改寫(xiě)10萬(wàn)次，讀無(wú)限次l 工作溫度：-2050l 工作頻率：13.56MHZl 通信速率：106KBPSl 讀寫(xiě)距離：10mm以?xún)?nèi)（與讀寫(xiě)器有關(guān)）二、存儲(chǔ)結(jié)構(gòu)1、M1卡分為16個(gè)扇區(qū)，每個(gè)扇區(qū)由4塊（塊0、塊1、塊2、塊3）組成，（我們也將16個(gè)扇區(qū)的64個(gè)塊按絕對(duì)地址編號(hào)為063，存貯結(jié)構(gòu)如下圖所示：塊0數(shù)據(jù)塊

2、0扇區(qū)0 塊1數(shù)據(jù)塊1塊2數(shù)據(jù)塊2塊3密碼A 存取控制 密碼B控制塊3塊0數(shù)據(jù)塊4扇區(qū)1塊1數(shù)據(jù)塊5塊2數(shù)據(jù)塊6塊3密碼A 存取控制 密碼B控制塊70數(shù)據(jù)塊60扇區(qū)15 1數(shù)據(jù)塊612數(shù)據(jù)塊623密碼A 存取控制 密碼B控制塊632、第0扇區(qū)的塊0（即絕對(duì)地址0塊），它用于存放廠商代碼，已經(jīng)固化，不可更改。3、每個(gè)扇區(qū)的塊0、塊1、塊2為數(shù)據(jù)塊，可用于存貯數(shù)據(jù)。數(shù)據(jù)塊可作兩種應(yīng)用： 用作一般的數(shù)據(jù)保存，可以進(jìn)行讀、寫(xiě)操作。 用作數(shù)據(jù)值，可以進(jìn)行初始化值、加值、減值、讀值操作。4、每個(gè)扇區(qū)的塊3為控制塊，包括了密碼A、存取控制、密碼B。具體結(jié)構(gòu)如下：A0 A1 A2 A3 A4 A5 FF 07

3、 80 69 B0 B1 B2 B3 B4 B5密碼A（6字節(jié)） 存取控制（4字節(jié)） 密碼B（6字節(jié)） 5、每個(gè)扇區(qū)的密碼和存取控制都是獨(dú)立的，可以根據(jù)實(shí)際需要設(shè)定各自的密碼及存取控制。存取控制為4個(gè)字節(jié)，共32位，扇區(qū)中的每個(gè)塊（包括數(shù)據(jù)塊和控制塊）的存取條件是由密碼和存取控制共同決定的，在存取控制中每個(gè)塊都有相應(yīng)的三個(gè)控制位,定義如下：塊0： C10 C20 C30塊1： C11 C21 C31塊2： C12 C22 C32塊3： C13 C23 C33三個(gè)控制位以正和反兩種形式存在于存取控制字節(jié)中，決定了該塊的訪問(wèn)權(quán)限（如 進(jìn)行減值操作必須驗(yàn)證KEY A，進(jìn)行加值操作必須驗(yàn)證KEY B，

4、等等）。三個(gè)控制位在存取控制字節(jié)中的位置，以塊0為例：對(duì)塊0的控制：bit 7 6 5 4 3 2 1 0字節(jié)6C20_bC10_b字節(jié)7C10C30_b字節(jié)8C30C20字節(jié)9( 注： C10_b表示C10取反 )存取控制（4字節(jié)，其中字節(jié)9為備用字節(jié)）結(jié)構(gòu)如下所示：bit 7 6 5 4 3 2 1 0字節(jié)6C23_bC22_bC21_bC20_bC13_bC12_bC11_bC10_b字節(jié)7C13C12C11C10C33_bC32_bC31_bC30_b字節(jié)8C33C32C31C30C23C22C21C20字節(jié)9( 注： _b表示取反 )6、數(shù)據(jù)塊（塊0、塊1、塊2）的存取控制如下：控制

5、位（X=0.1.2）訪 問(wèn) 條 件 （對(duì)數(shù)據(jù)塊 0、1、2）C1XC2XC3XReadWriteIncrementDecrement, transfer,Restore000KeyA|BKeyA|BKeyA|BKeyA|B010KeyA|BNeverNeverNever100KeyA|BKeyBNeverNever110KeyA|BKeyBKeyBKeyA|B001KeyA|BNeverNeverKeyA|B011KeyBKeyBNeverNever101KeyBNeverNeverNever111NeverNeverNeverNever（KeyA|B 表示密碼A或密碼B，Never表示任何條

6、件下不能實(shí)現(xiàn)）例如：當(dāng)塊0的存取控制位C10 C20 C30= 0 0 1時(shí)，驗(yàn)證密碼A或密碼B正確后可讀；驗(yàn)證密碼B正確后可寫(xiě)；不能進(jìn)行加值、減值操作。7、控制塊塊3的存取控制與數(shù)據(jù)塊（塊0、1、2）不同，它的存取控制如下：密碼A存取控制密碼BC13C23C33ReadWriteReadWriteReadWrite000NeverKeyA|BKeyA|BNeverKeyA|BKeyA|B010NeverNeverKeyA|BNeverKeyA|BNever100NeverKeyBKeyA|BNeverNeverKeyB110NeverNeverKeyA|BNeverNeverNever001

7、NeverKeyA|BKeyA|BKeyA|BKeyA|BKeyA|B011NeverKeyBKeyA|BKeyBNeverKeyB101NeverNeverKeyA|BKeyBNeverNever111NeverNeverKeyA|BNeverNeverNever例如：當(dāng)塊3的存取控制位C13 C23 C33= 0 0 1時(shí)，表示：密碼A：不可讀，驗(yàn)證KEYA或KEYB正確后，可寫(xiě)（更改）。存取控制：驗(yàn)證KEYA或KEYB正確后，可讀、可寫(xiě)。密碼B：驗(yàn)證KEYA或KEYB正確后，可讀、可寫(xiě)。 新卡片中的控制字（FF 07 80 69）密碼A可用，密碼B不可用； 推薦的控制字方案一：7F 07

8、 88 69此控制字說(shuō)明：數(shù)據(jù)塊：用密碼A或B都可以讀寫(xiě)； 控制塊：密碼A：由密碼B來(lái)寫(xiě)，不可讀；密碼B：由密碼B來(lái)寫(xiě)，不可讀；控制字：用密碼A或B都可讀，由密碼B寫(xiě)；方案二：08 77 8F 69此控制字說(shuō)明：數(shù)據(jù)塊：用密碼A讀，由密碼B讀寫(xiě)；控制塊：密碼A：由密碼B來(lái)寫(xiě)，不可讀；密碼B：由密碼B來(lái)寫(xiě)，不可讀；控制字：用密碼A或B都可讀，由密碼B寫(xiě)；三、卡片卡片的電氣部分只由一個(gè)天線和ASIC組成。天線：卡片的天線是只有幾組繞線的線圈，很適于封裝到IS0卡片中。ASIC：卡片的ASIC由一個(gè)高速（106KB波特率）的RF接口，一個(gè)控制單元和一個(gè)8K位EEPROM組成。四、對(duì)數(shù)據(jù)塊的操作讀 (

9、Read)：讀一個(gè)塊；寫(xiě) (Write）：寫(xiě)一個(gè)塊；加（Increment）：對(duì)數(shù)值塊進(jìn)行加值；減（Decrement）：對(duì)數(shù)值塊進(jìn)行減值；存儲(chǔ)（Restore）：將塊中的內(nèi)容存到數(shù)據(jù)寄存器中；傳輸（Transfer）：將數(shù)據(jù)寄存器中的內(nèi)容寫(xiě)入塊中；中止（Halt）：將卡置于暫停工作狀態(tài)；對(duì)于電腦周邊編程，主要有兩種思路（應(yīng)該沒(méi)有第三種了）?！驹敿?xì)說(shuō)明見(jiàn)我博文永和豆?jié){管理系統(tǒng)基礎(chǔ)工作總結(jié)】一、利用windows系統(tǒng)本身dll庫(kù)。二、利用硬件產(chǎn)家提供的dll。本篇對(duì)M1卡的編程是利用上述第二種方法。M1卡最為重要的優(yōu)點(diǎn)是可讀可寫(xiě)并且安全性高的多功能卡。這些優(yōu)點(diǎn)與其自身的結(jié)構(gòu)密不可分。M1結(jié)構(gòu)：M

10、1卡分為16個(gè)扇區(qū)，每個(gè)扇區(qū)4塊（塊03），共64塊，按塊號(hào)編址為063。第0扇區(qū)的塊0（即絕對(duì)地址0塊）用于存放廠商代碼，已經(jīng)固化，不可更改。其他各扇區(qū)的塊0、塊1、塊2為數(shù)據(jù)塊，用于存貯數(shù)據(jù)；塊3為控制塊，存放密碼A、存取控制、密碼B。每個(gè)扇區(qū)的密碼和存取控制都是獨(dú)立的，可以根據(jù)實(shí)際需要設(shè)定各自的密碼及存取控制。M1卡運(yùn)作機(jī)理：連接讀寫(xiě)器尋卡識(shí)別卡（獲取卡序列號(hào)）從多卡中選一張卡向卡中緩沖區(qū)裝載密碼驗(yàn)證密碼進(jìn)行讀寫(xiě)關(guān)閉連接即（代碼說(shuō)明）Open_USBrf_requestrf_anticollrf_selectrf_load_keyrf_authentication(/a_hex)rf_r

11、ead/rf_write(hex_a)Close_USB如果概括來(lái)說(shuō)的話(huà)，主要也就四部分 開(kāi)關(guān)連接、尋卡、驗(yàn)證密碼、讀取。（至于詳細(xì)程序代碼，相信大家自己看過(guò)dll說(shuō)明文檔后，自己會(huì)明白的，這里就不寫(xiě)了，因?yàn)閮?nèi)容多）M1卡功能模式：1.尋卡模式：尋卡模式分三種情況：IDLE模式、ALL模式及指定卡模式（0，1，2 均是int類(lèi)型，是方法參數(shù)，下同）。0表示IDLE模式，一次只對(duì)一張卡操作；1表示ALL模式，一次可對(duì)多張卡操作；2表示指定卡模式，只對(duì)序列號(hào)等于snr的卡操作（高級(jí)函數(shù)才有）【不常用】也就是說(shuō)，我們一次也可以同時(shí)操作多張卡。對(duì)于多卡操作，其實(shí)際真正執(zhí)行操作的還是一張卡。讀寫(xiě)器能識(shí)別

12、多張卡的序列號(hào)（但注意識(shí)別出的順序是不定的，并且最多也就能識(shí)別4張卡，因?yàn)榭ǒB放的厚度太厚，會(huì)超出讀寫(xiě)器的識(shí)別范圍），并一一進(jìn)行操作。所以由此看出，多卡操作的意義并不大。但我建議大家還是設(shè)置為1好了（原因不說(shuō)了，自己感受吧，其實(shí)無(wú)所謂）。2.密碼驗(yàn)證模式：0KEYSET0的KEYA4KEYSET0的KEYBM1卡可以在驗(yàn)證密碼時(shí)選擇密碼類(lèi)型（A/B）?！酒鋵?shí)M1卡有3套密碼（KEYSET0、KEYSET1、KEYSET2），共6個(gè)密碼（用02、46來(lái)表示這六個(gè)密碼），目的是為了適應(yīng)不同讀寫(xiě)器。而這里我們用的是KEYSET0的2個(gè)密碼】M1卡密碼機(jī)制：這可以說(shuō)是M1卡的精髓了，也是M1卡最為復(fù)雜

13、的地方，希望大家耐心看完。（請(qǐng)先看明白M1卡結(jié)構(gòu)）如上所說(shuō)，在存取控制中每個(gè)塊都有相應(yīng)的三個(gè)控制位,它們的定義如下：塊0： C10 C20 C30塊1： C11 C21 C31塊2： C12 C22 C32塊3： C13 C23 C33一個(gè)扇區(qū)的三個(gè)數(shù)據(jù)塊，我們可以利用密碼機(jī)制對(duì)它們分別進(jìn)行權(quán)限控制。數(shù)據(jù)塊（塊0、塊1、塊2）的存取控制如下：例如：當(dāng)塊0的存取控制位C10 C20 C30=100時(shí)，驗(yàn)證密碼A或密碼B正確后可讀；驗(yàn)證密碼B正確后可寫(xiě)；不能進(jìn)行加值、減值操作。那么M1卡修改密碼的方法是rf_changeb3參數(shù)：icdev：通訊設(shè)備標(biāo)識(shí)符_SecNr：扇區(qū)號(hào)（015）KeyA：密碼A_B0：塊0控制字，低3位（D2D1D0）對(duì)應(yīng)C10、C20、C30_B1：塊1控制字，低3位（D2D1D0）對(duì)應(yīng)C11、C21、C31_B2：塊2控制字，低3位（D2D1D0）對(duì)應(yīng)C12、C22、C32_B3：塊3控制字，低3位（D2D1D0）對(duì)應(yīng)C13、C23、C33_Bk：保留參數(shù)，取值為0_KeyB：密碼B由上我們看出_B0、_B1、_B2、_B3分別控制塊0、塊1、塊2、塊3。由圖我們可知_B0、_B1、_B2的可取值為 0、10、10